Un nouveau DC4 à la sauce RGPD

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. Ce texte complexe et quelque peu abscons encadre la collecte, la conservation et la bonne utilisation des données personnelles, ces fameuses data qui sont devenues l’or de ce 21e siècle numérique.

Pour répondre à ce nouveau cadre légal, le DC4 a donc été mis à jour par la DAJ avec le renfort (on imagine bienvenu) de la CNIL. Le DC4, rappelons-le, est le formulaire que tout sous-missionnaire ou titulaire d’un marché public doit renseigner pour déclarer un ou des sous-traitants.

En effet, dans le cas où des données personnelles doivent être collectées, utilisées ou transmises à un sous-traitant, celui-ci doit lui aussi répondre impérativement aux exigences du RGPD.

Le nouveau DC4 version 2018 demande donc de préciser la nature du traitement, son but, sa durée, le détail des données traitées ainsi que les catégories de personnes devant les utiliser chez le sous-traitant.

Le titulaire du marché s’engage aussi sur les garanties en termes de protection des données de son sous-traitant. Il doit également s’assurer que celui-ci ne sous-traite pas lui-même la gestion de données personnelles sans son consentement.

Il est bien difficile pour une entreprise de vérifier techniquement la stricte utilisation dans les clous des données personnelles d’une entreprise externe. Dans le cas d’utilisation de données personnelles sensibles, il est donc essentiel de travailler avec des sous-traitants sérieux qui s’engagent clairement sur la protection des données.

Car au final, c’est bien le titulaire du marché qui portera la responsabilité aux yeux de l’acheteur public en cas de problème.

 

Pour en savoir plus : Notice explicative nouveau DC4

%d blogueurs aiment cette page :